- 1、本文档共8页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于Linux防火墙
基于Linux防火墙
摘要:目前防火墙发展到第四代是基于安全操作系统的防火墙,本文主要是对Linux下的防火墙Netlifter进行了探讨。首先对防火墙技术的发展阶段进行了回顾和说明。然后具体的研究了Linux下的防火墙Neffilter的框架及功能。最后基于防火墙的改进方向给出了一些建议。
关键字:防火墙Linux Netfilter
1 概述
Linux是国际互联网发展的产物,在我国得到很快的发展。网络服务器使用Linux作为核心系统的比重也在不断增大。Linmx的开源策略使它得到广大用户的青睐,但这也让系统一览无余,系统存在的漏洞很容易被他人利用,因此应更加注重整个系统的网络安全设计。本文就是Linux系统的防火墙――Netfilter。
2 防火墙技术简介
防火墙有许多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总体来说,根据防火墙发展的阶段层次分,目前主要可以将防火墙分为四代:包过滤防火墙、应用级网关、状态监视器和基于专用操作系统的防火墙。
2.1 第一代防火墙――包过滤防火墙
包过滤防火墙,最早从cisco的IOS软件中分离出来的,即对流经网络防火墙的所有数据包逐个检查。这类防火墙简洁、速度快、费用低。缺陷是工作在网络层,只检查IP和TCP的包头,不能彻底防止地址欺骗,对更高协议层的信息无理解力。
2.2 第二代防火墙_应用级网关防火墙
“应用代理”防火墙采用一种被称为“应用协议分析”的新技术。“应用协议分析”技术工作在OSI模型的最高层――应用层上。在这一层里能接触到的所有数据都是最终形式,因而可以实现更高级的数据检测过程。
由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,因此内外部网络两边的计算机不能直接会话。目前,代理防火墙的普及范围远远不及包过滤型防火墙。
2.3 第三代防火墙――状态检测防火墙
是在基于“包过滤”原理的“动态包过滤”技术发展而来的,也是为了抵御各种恶意水平网络黑客通过构造各种有害的网络数据包的攻击行为。这种防火墙技术通过一种被称为“状态检测”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,根据各种过滤规则作出安全决策。
这种“状态检测”模块称之为监测引擎。它支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。状态检测防火墙还可以检测无连接状态的远程过程调用和用户数据报之类的端口信息。
2.4 第四代防火墙――基于专用操作系统的防火墙
防火墙自身无法解决网络对防火墙的攻击,所以,提出了一种新的防火墙技术思想――基于专用操作系统的防火墙。
我们采用安全操作系统作为防火墙的运行平台,首先,安全操作系统实现了强制访问控制手段,从而可以防止黑客对防火墙运行平台的攻击行为。Linux操作系统的兴起和不断发展,使基于专用操作系统的第四代防火墙的开发成为可能。
3 基于Unux的防火墙――Netfilter
在Linux内核版本2.4以上采用的Netfilter架构是一种内核中用于扩展各种网络服务的结构化底层框架。Netfilter的设计思想是生成―个模块结构使之能够比较容易扩展,新特性加入到内核中并不需要重新启动内核。这样,可以通过简单的构造一个内核模块来实现网络新特性的扩展。
3.1Netfilter框架
在Linux2.4内核中配置Netfilter框架的程序是一个使用getsockopt系统调用与内核通讯、称为iptables的数据报选择系统。种数据报选择用于实现数据报过滤(Filter表),网络地址转换(NAT表)及数据报处理(Mangle表)。Linux2,4内核提供的这三种数据报处理功能都是独立的模块,都集成到了由Netfilter框架中。
3.2 Netfilter可以实现的功能
3.2.1 实现状态检测
每个网络连接包括以下信息:源地址、目的地址、源端口和目的端口,协议类型、连接状态(TCP协议)和超时时间等。它除了能够完成简单包过滤防火墙的包过滤工作外。还在内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
3.2.2 实现包过滤
Filter表格不会对数据报进行修改,而只对数据报进行过滤。lptables优于ipchains的一个方面就是它速度更快,更为小巧。它是通过三个钩子函数接入Netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过
文档评论(0)